Кафе, аэропорты, отели, конференции, библиотеки. Ненадёжные сети, к которым ты всё равно подключаешься, потому что бесплатно. Вот что может пойти не так и как ВПН решает большую часть.
🤖 Скачать бесплатноКонкретные угрозы на ненадёжной сети, в грубом порядке вероятности встречи:
Любой на той же сети с базовыми тулзами (Wireshark) может захватывать весь незашифрованный трафик в воздухе. Они не должны атаковать тебя — они просто смотрят.
Сложность: тривиально. Детектируемость: никакая.
Атакующий поднимает WiFi-сеть с тем же именем что и легитимная ("Starbucks_Free" или похожее). Твой телефон подключается автоматом. Они видят весь твой трафик.
Сложность: легко. Детектируемость: сложно.
Некоторые "бесплатный WiFi" captive porталы инжектят рекламу, подменяют куки или трекают через JavaScript. Портал — буквально man-in-the-middle by design.
Сложность: делает само заведение. Детектируемость: средняя.
Оператор сети (или тот, кто её скомпрометировал) может вернуть ложные DNS-ответы — отправить тебя на фейковую страницу логина, фейковый банк или хуже.
Сложность: средняя. Детектируемость: средняя.
| Угроза | С ClownVPN | Почему |
|---|---|---|
| Пассивный снифинг пакетов | Нейтрализован | Весь трафик это AES-256-GCM шифротекст. Они видят шум. |
| Evil twin AP | Нейтрализован | Даже если атакующий это AP, твой трафик шифрован end-to-end к серверу ClownVPN, который они не контролируют. |
| MITM на captive portal | Нейтрализован (после логина) | После входа в портал туннель поднимается и заведение не может ничего инжектить. |
| DNS spoofing | Нейтрализован | DNS-запросы идут через туннель к Cloudflare 1.1.1.1, никогда к DNS-серверу локальной сети. |
| ARP-отравление | Нейтрализован | Даже если трафик перенаправлен, содержимое зашифровано. |
| Прямая атака на твоё устройство | Не нейтрализован | Это проблема host-OS. Держи телефон пропатченным. |
Настройки → Сеть и интернет → VPN → ClownVPN ⚙️ → включить Always-on VPN + Block connections without VPN. Теперь ещё до открытия любого приложения туннель поднят.
Настройки → Сеть и интернет → Интернет → ⚙️ → выключить авто-подключение. Это останавливает телефон от присоединения к evil twins сетей, которым ты ранее доверял.
Когда натыкаешься на "тапни чтобы залогиниться", кратко отключи ClownVPN, прими условия, переподключись. Или используй split tunneling и временно исключи браузер.
Раз в квартал или после обновлений Android запускай гайд проверки утечек, чтобы подтвердить, что всё маршрутизируется через ВПН как ожидается.
Высокий траффик, куча попыток evil-twin в пиковые часы. Также обычно логируется инфраструктурой заведения.
Печально известная подозрительная инфраструктура. Captive portals рутинно инжектят рекламу или трекают юзеров.
Открытые сети со слабым управлением. Легко поднять evil twin в соседней кабинке.
Классическая площадка для ВПН-демо. Много любопытных на сети, плюс намеренный исследовательский траффик.
Часто плотно логируется "для безопасности". Многие также блокируют конкретные категории легитимного трафика.
Расшаренные спутниковые или мобильные аплинки со слабым перформансом и неизвестной политикой логирования.
